13 مارچ RIPE مخالف بدسلوڪي ورڪنگ گروپ ڏانهن BGP hijacking (hjjack) کي RIPE پاليسي جي خلاف ورزي سمجھو. جيڪڏهن تجويز قبول ڪئي وئي، انٽرنيٽ فراهم ڪندڙ ٽرئفڪ جي مداخلت طرفان حملو ڪيو ويو ته حملي ڪندڙ کي بي نقاب ڪرڻ لاء هڪ خاص درخواست موڪلڻ جو موقعو هوندو. جيڪڏهن جائزو وٺڻ واري ٽيم ڪافي حمايتي ثبوت گڏ ڪري ٿي، LIR جيڪو BGP مداخلت جو ذريعو هو، هڪ مداخلت ڪندڙ سمجهيو ويندو ۽ ان جي LIR جي حيثيت کي ختم ڪري سگهجي ٿو. ڪجهه دليل به هئا تبديليون.
هن اشاعت ۾ اسان هڪ حملي جو مثال ڏيکارڻ چاهيون ٿا جتي نه رڳو حقيقي حملي آور سوال ۾ هو، پر متاثر ٿيل اڳين جي مڪمل فهرست پڻ. ان کان علاوه، اهڙي حملي ٻيهر هن قسم جي ٽرئفڪ جي مستقبل جي مداخلت جي مقصدن بابت سوال پيدا ڪري ٿي.
گذريل ڪجھ سالن کان، صرف MOAS جھڙوڪ تڪرار (Multiple Origin Autonomous System) پريس ۾ بي جي پي مداخلت جي طور تي ڍڪيل آھن. MOAS هڪ خاص ڪيس آهي جتي ٻه مختلف خودمختيار نظام AS_PATH ۾ لاڳاپيل ASN سان متضاد اڳڪٿين جو اشتهار ڏين ٿا (AS_PATH ۾ پهريون ASN، بعد ۾ اصل ASN طور حوالو ڏنو ويو آهي). بهرحال، اسان گهٽ ۾ گهٽ نالو ڪري سگهون ٿا ٽرئفڪ جي مداخلت، هڪ حملي ڪندڙ کي اجازت ڏئي ٿي AS_PATH وصف کي مختلف مقصدن لاءِ استعمال ڪري، بشمول فلٽرنگ ۽ مانيٽرنگ جي جديد طريقن کي نظرانداز ڪرڻ. ڄاتل حملي جو قسم - اهڙي مداخلت جو آخري قسم، پر اهميت ۾ بلڪل نه. اهو بلڪل ممڪن آهي ته اهو بلڪل اهڙي قسم جو حملو آهي جيڪو اسان گذريل هفتن ۾ ڏٺو آهي. اهڙي واقعي جي هڪ سمجھاڻي فطرت ۽ ڪافي سنجيده نتيجا آهي.
جيڪي ڳولي رھيا آھن TL؛ DR ورزن تائين اسڪرال ڪري سگھن ٿا ”پرفٽ اٽيڪ“ ذيلي عنوان.
نيٽ ورڪ پس منظر
(توهان کي هن واقعي ۾ شامل عملن کي بهتر سمجهڻ ۾ مدد ڏيڻ لاءِ)
جيڪڏهن توهان هڪ پيڪيٽ موڪلڻ چاهيو ٿا ۽ توهان وٽ روٽنگ ٽيبل ۾ ڪيترائي اڳياڙيون آهن جن ۾ منزل جو IP پتو هوندو، ته پوءِ توهان اڳيئي لاءِ رستو استعمال ڪندا سڀ کان ڊگھي ڊيگهه سان. جيڪڏهن روٽنگ ٽيبل ۾ ساڳيا اڳياڙيءَ لاءِ ڪيترائي مختلف رستا آهن، ته توهان بهترين چونڊيندا (بهترين رستي جي چونڊ ميڪانيزم جي مطابق).
موجوده فلٽرنگ ۽ مانيٽرنگ جا طريقا AS_PATH وصف جو تجزيو ڪندي رستن جو تجزيو ڪرڻ ۽ فيصلا ڪرڻ جي ڪوشش ڪن ٿا. روٽر شايد هن وصف کي تبديل ڪري سگھي ٿو ڪنهن به قيمت تي اشتهار دوران. بس مالڪ جي ASN کي AS_PATH جي شروعات ۾ شامل ڪرڻ (جيئن اصل ASN) موجوده اصل چيڪنگ ميڪانيزم کي نظرانداز ڪرڻ لاءِ ڪافي ٿي سگھي ٿو. ان کان علاوه، جيڪڏهن حملو ٿيل ASN کان توهان ڏانهن ڪو رستو آهي، اهو ممڪن آهي ته توهان جي ٻين اشتهارن ۾ هن رستي جي AS_PATH کي ڪڍڻ ۽ استعمال ڪريو. ڪو به AS_PATH-صرف توهان جي تيار ڪيل اعلانن جي تصديق جي چڪاس آخرڪار گذري ويندي.
اڃا تائين ڪجھ حدون قابل ذڪر آھن. سڀ کان پهريان، اپ اسٽريم فراهم ڪندڙ طرفان پريفڪس فلٽر ڪرڻ جي صورت ۾، توهان جو روٽ اڃا به فلٽر ٿي سگهي ٿو (جيتوڻيڪ صحيح AS_PATH سان به) جيڪڏهن پريفڪس اپ اسٽريم تي ترتيب ڏنل توهان جي ڪلائنٽ ڪون سان لاڳاپيل ناهي. ٻيو، صحيح AS_PATH غلط ٿي سگھي ٿو جيڪڏھن ٺاھيل رستو غلط ھدايتن ۾ مشھور ڪيو ويو آھي ۽ اھڙيءَ طرح، رستي جي پاليسي جي ڀڃڪڙي ڪري ٿو. آخر ۾، ڪو به رستو اڳياڙي سان جيڪو ROA جي ڊگھائي جي خلاف ورزي ڪري ٿو غلط سمجهي سگهجي ٿو.
واقعو
ڪجھ هفتا اڳ اسان کي اسان جي استعمال ڪندڙن مان هڪ شڪايت ملي. اسان هن جي اصلي ASN ۽ /25 اڳڪٿين سان رستا ڏٺا، جڏهن ته صارف دعويٰ ڪئي ته هن انهن کي اشتهار نه ڏنو.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
اپريل 2019 جي شروعات لاءِ اعلانن جا مثال
/25 پريفڪس جي رستي ۾ NTT ان کي خاص طور تي مشڪوڪ بڻائي ٿو. LG NTT واقعي جي وقت هن رستي کان بي خبر هئي. سو ها، ڪجهه آپريٽر ٺاهي ٿو هڪ مڪمل AS_PATH انهن اڳڪٿين لاءِ! ٻين رستن تي چيڪ ڪندي ظاهر ڪري ٿو هڪ خاص ASN: AS263444. ھن خودمختيار نظام سان گڏ ٻين رستن کي ڏسڻ کان پوء، اسان ھيٺ ڏنل صورتحال کي سامھون ڪيو:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
اندازو ڪرڻ جي ڪوشش ڪريو هتي ڇا غلط آهي
اهو ظاهر ٿئي ٿو ته ڪنهن ماڻهو رستي کان اڳيفڪس ورتو، ان کي ٻن حصن ۾ ورهايو، ۽ ساڳئي AS_PATH سان انهن ٻن اڳياڙين لاءِ رستي جو اشتهار ڏنو.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
ورهايل پريفڪس جوڑوں مان هڪ لاءِ مثال رستا
هڪ ئي وقت ڪيترائي سوال اڀرن ٿا. ڇا ڪنهن واقعي ۾ هن قسم جي مداخلت جي ڪوشش ڪئي آهي؟ انهن رستن کي ڪنهن ورتو آهي؟ ڪهڙا اڳوڻا متاثر ٿيا؟
هي اهو آهي جتي اسان جي ناڪامين جو سلسلو شروع ٿئي ٿو ۽ اڃا تائين انٽرنيٽ جي صحت جي موجوده حالت سان مايوسي جو هڪ ٻيو دور.
ناڪامي جو رستو
پهرين شيون پهرين. اسان ڪيئن اندازو لڳائي سگهون ٿا ته ڪهڙن رستن کي قبول ڪيو ويو اهڙن روڪندڙ رستن ۽ جن جي ٽريفڪ اڄ ٻيهر ٿي سگهي ٿي؟ اسان سوچيو ته اسان /25 اڳڪٿين سان شروع ڪنداسين ڇاڪاڻ ته اهي "صرف عالمي تقسيم نٿا ڪري سگهن." جئين توهان اندازو لڳائي سگهو ٿا، اسان بلڪل غلط هئاسين. هي ميٽرڪ تمام گهڻو شور ٿيڻ لڳو ۽ رستا اهڙن اڳڪٿين سان گڏ ٽائر-1 آپريٽرز کان به ظاهر ٿي سگهن ٿا. مثال طور، اين ٽي ٽي ۾ اٽڪل 50 اهڙا اڳڪٿيون آهن، جن کي اها پنهنجي ڪلائنٽ ۾ ورهائي ٿي. ٻئي طرف، هي ميٽرڪ خراب آهي ڇو ته جيڪڏهن آپريٽر استعمال ڪري ٿو ته اهڙيون اڳڪٿيون فلٽر ٿي سگهن ٿيون ، سڀني طرفن ۾. تنهن ڪري، هي طريقو سڀني آپريٽرن کي ڳولڻ لاء مناسب ناهي جن جي ٽرئفڪ کي اهڙي واقعي جي نتيجي ۾ ريڊائرڊ ڪيو ويو آهي.
هڪ ٻيو سٺو خيال جيڪو اسان سوچيو هو اهو ڏسڻ لاء هو . خاص طور تي انهن رستن لاءِ جيڪي لاڳاپيل ROA جي maxLength قاعدي جي ڀڃڪڙي ڪن ٿا. هن طريقي سان اسان مختلف اصل ASN جو تعداد ڳولي سگهون ٿا Status Invalid سان جيڪي هڪ ڏنل AS کي نظر اچن ٿا. بهرحال، اتي هڪ "ننڍو" مسئلو آهي. ھن نمبر جو سراسري (ميڊين ۽ موڊ) (مختلف اصل ASNs جو تعداد) اٽڪل 150 آھي ۽، جيتوڻيڪ اسين ننڍڙا اڳيئي فلٽر ڪريون، پر اھو 70 کان مٿي رھي ٿو. ھن حالت جي بلڪل سادي وضاحت آھي: اتي رڳو ھڪڙو آھن. ڪجھ آپريٽرز جيڪي اڳ ۾ ئي ROA- فلٽر استعمال ڪن ٿا "غلط رستن کي ري سيٽ ڪريو" پاليسي سان داخل ٿيڻ واري پوائنٽن تي، ته جيئن حقيقي دنيا ۾ جتي به ڪو رستو ROA جي خلاف ورزي سان ظاهر ٿئي، اهو سڀني طرفن ۾ پروپيگنڊا ڪري سگهي ٿو.
آخري ٻه طريقا اسان کي آپريٽرز ڳولڻ جي اجازت ڏين ٿا جن اسان جي واقعن کي ڏٺو (جيئن ته اهو تمام وڏو هو)، پر عام طور تي اهي لاڳو نه آهن. ٺيڪ آهي، پر ڇا اسان مداخلت ڪندڙ کي ڳولي سگهون ٿا؟ هن AS_PATH هٿرادو جون عام خاصيتون ڇا آهن؟ ڪجھ بنيادي مفروضا آھن:
- اڳيئي اڳ ڪٿي به نه ڏٺو ويو هو؛
- اصل ASN (ياد ڏياريندڙ: AS_PATH ۾ پهريون ASN) صحيح آهي؛
- AS_PATH ۾ آخري ASN حملو ڪندڙ جو ASN آهي (جيڪڏهن ان جو پاڙيسري سڀني ايندڙ رستن تي پاڙيسري جي ASN کي چيڪ ڪري ٿو)؛
- حملو هڪ واحد فراهم ڪندڙ مان نڪرندو آهي.
جيڪڏهن سڀ مفروضا صحيح آهن، ته پوءِ سڀ غلط رستا پيش ڪندا حملي آور جي ASN (سواءِ اصل ASN) ۽ اهڙيءَ طرح، هي هڪ ”نازڪ“ نقطو آهي. حقيقي اغوا ڪندڙن ۾ AS263444 هو، جيتوڻيڪ ٻيا به هئا. جڏهن ته اسان واقعي جي رستن کي غور کان رد ڪري ڇڏيو. ڇو؟ هڪ نازڪ نقطو شايد صحيح رستن لاءِ به نازڪ رهي سگهي ٿو. اهو يا ته ڪنهن علائقي ۾ خراب رابطي جو نتيجو ٿي سگهي ٿو يا اسان جي پنهنجي نمائش ۾ حدون.
نتيجي طور، حملي آور کي ڳولڻ جو هڪ طريقو آهي، پر صرف ان صورت ۾ جڏهن مٿين سڀني شرطن کي پورا ڪيو وڃي ۽ صرف ان صورت ۾ جڏهن مداخلت ايتري وڏي آهي ته مانيٽرنگ جي حدن کي پاس ڪرڻ لاء. جيڪڏهن انهن مان ڪجهه عنصر پورا نه ڪيا ويا آهن، ته پوء اسان انهن اڳڪٿين کي سڃاڻي سگهون ٿا جيڪي اهڙي مداخلت کان متاثر ٿيا آهن؟ ڪجهه آپريٽرن لاء - ها.
جڏهن هڪ حملو ڪندڙ هڪ وڌيڪ مخصوص رستو ٺاهي ٿو، اهڙي اڳڀرائي حقيقي مالڪ طرفان اشتهار نه ڏني وئي آهي. جيڪڏهن توهان وٽ ان جي سڀني اڳڪٿين جي هڪ متحرڪ فهرست آهي، ته پوء اهو هڪ مقابلو ڪرڻ ۽ وڌيڪ مخصوص رستن کي خراب ڪرڻ ممڪن آهي. اسان پنهنجي BGP سيشن کي استعمال ڪندي اڳياڙين جي هن فهرست کي گڏ ڪريون ٿا، ڇاڪاڻ ته اسان کي نه رڳو ڏنل رستن جي مڪمل فهرست ڏني وئي آهي جيڪي هن وقت آپريٽر کي نظر اچن ٿا، پر انهن سڀني اڳيڙن جي هڪ فهرست پڻ ڏني وئي آهي جن کي اهو دنيا ۾ اشتهار ڏيڻ چاهي ٿو. بدقسمتي سان، هاڻي ڪيترائي درجن وارا رادر استعمال ڪندڙ آهن جيڪي آخري حصو مڪمل نه ٿا ڪن. اسان انهن کي جلد ئي اطلاع ڪنداسين ۽ هن مسئلي کي حل ڪرڻ جي ڪوشش ڪنداسين. باقي هرڪو اسان جي نگراني واري نظام ۾ شامل ٿي سگهي ٿو.
جيڪڏهن اسان اصل واقعي ڏانهن واپس وڃون ٿا، ٻنهي حملي آور ۽ ورهائڻ واري علائقي اسان کي نازڪ پوائنٽن جي ڳولا ڪندي ڳولي ورتو. حيرت انگيز طور تي، AS263444 پنهنجي سڀني مراجعين ڏانهن ٺاهيل رستن کي نه موڪليو. جيتوڻيڪ اتي هڪ اجنبي لمحو آهي.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
اسان جي ايڊريس اسپيس کي روڪڻ جي ڪوشش جو هڪ تازو مثال
جڏهن اسان جي اڳڪٿين لاءِ وڌيڪ مخصوص ٺاهيا ويا، خاص طور تي ٺهيل AS_PATH استعمال ڪيو ويو. بهرحال، هي AS_PATH اسان جي اڳئين رستن مان ڪنهن به نه ورتو وڃي ها. اسان وٽ AS6762 سان رابطو به ناهي. واقعي ۾ ٻين رستن کي ڏسندي، انهن مان ڪجهه هڪ حقيقي AS_PATH هئي جيڪا اڳ ۾ استعمال ڪئي وئي هئي، جڏهن ته ٻيا نه هئا، جيتوڻيڪ اهو اصل وانگر نظر اچي ٿو. اضافي طور تي AS_PATH کي تبديل ڪرڻ ڪو به عملي معنيٰ نٿو رکي، ڇو ته ٽريفڪ ڪنهن به صورت ۾ حملي آور ڏانهن منتقل ڪئي ويندي، پر "خراب" AS_PATH سان رستن کي ASPA يا ڪنهن ٻئي انسپيڪشن ميڪنزم ذريعي فلٽر ڪري سگهجي ٿو. هتي اسان کي اغوا ڪرڻ جي motivation جي باري ۾ سوچيو. اسان وٽ في الحال ايتري ڄاڻ نه آهي ته اها تصديق ڪري سگهجي ته هي واقعو هڪ رٿيل حملو هو. تنهن هوندي به، اهو ممڪن آهي. اچو ته تصور ڪرڻ جي ڪوشش ڪريو، جيتوڻيڪ اڃا تائين فرضي، پر امڪاني طور تي بلڪل حقيقي، صورتحال.
ڀرپور حملو
اسان وٽ ڇا آهي؟ اچو ته چئو ته توهان هڪ ٽرانزٽ فراهم ڪندڙ آهيو نشريات جا رستا توهان جي گراهڪن لاءِ. جيڪڏهن توهان جا گراهڪ آهن گھڻن موجودگي (گهڻن گھرن)، پوء توهان حاصل ڪندا صرف انهن جي ٽرئفڪ جو هڪ حصو. پر وڌيڪ ٽرئفڪ، وڌيڪ توهان جي آمدني. تنهن ڪري جيڪڏهن توهان انهن ساڳين رستن جي سب نيٽ اڳياڙين کي ساڳئي AS_PATH سان اشتهار ڏيڻ شروع ڪندا، توهان کي انهن جي باقي ٽرئفڪ ملندي. نتيجي طور، باقي پئسا.
ڇا ROA هتي مدد ڪندو؟ شايد ها، جيڪڏهن توهان ان کي مڪمل طور تي استعمال ڪرڻ بند ڪرڻ جو فيصلو ڪيو . ان کان علاوه، اهو انتهائي ناپسنديده آهي ته ROA رڪارڊ هڪ ٻئي سان ٽڪرائڻ واري اڳفڪس سان. ڪجهه آپريٽرز لاء، اهڙيون پابنديون ناقابل قبول آهن.
ٻين رستن جي حفاظتي ميکانيزم تي غور ڪندي، ASPA هن معاملي ۾ مدد نه ڪندو (ڇاڪاڻ ته اهو استعمال ڪري ٿو AS_PATH صحيح رستي کان). BGPSec اڃا تائين بهتر اختيار نه آهي گهٽ اپنائڻ جي شرحن جي ڪري ۽ حملن جي گهٽتائي جي باقي امڪان جي ڪري.
تنهنڪري اسان وٽ حملي آور لاءِ واضح فائدو ۽ سيڪيورٽي جي کوٽ آهي. عظيم ميلاپ!
آئون ڇا ڪريان؟
واضح ۽ سڀ کان وڌيڪ سخت قدم توهان جي موجوده روٽنگ پاليسي جو جائزو وٺڻ آهي. پنھنجي پتي جي جڳھ کي ننڍن ننڍن حصن ۾ ٽوڙيو (ڪو به اوورليپ نه آھي) جنھن کي توھان اشتهار ڏيڻ چاھيو ٿا. ROA سائن ان ڪريو صرف انھن لاءِ، سواءِ maxLength پيٽرول جي. انهي حالت ۾، توهان جي موجوده پي او وي توهان کي اهڙي حملي کان بچائي سگهي ٿي. جڏهن ته، ٻيهر، ڪجهه آپريٽرز لاء اهو طريقو مناسب نه آهي ڇاڪاڻ ته وڌيڪ مخصوص رستن جي خاص استعمال جي ڪري. ROA ۽ رستي جي شين جي موجوده حالت سان سڀئي مسئلا اسان جي مستقبل جي مواد مان هڪ ۾ بيان ڪيا ويندا.
ان کان سواء، توهان اهڙي مداخلت جي نگراني ڪرڻ جي ڪوشش ڪري سگهو ٿا. ائين ڪرڻ لاء، اسان کي توهان جي اڳڪٿين بابت قابل اعتماد معلومات جي ضرورت آهي. اهڙيء طرح، جيڪڏهن توهان اسان جي ڪليڪٽر سان هڪ BGP سيشن قائم ڪيو ۽ اسان کي توهان جي انٽرنيٽ جي نمائش بابت معلومات فراهم ڪريو، اسان ٻين واقعن جي گنجائش ڳولي سگهون ٿا. انهن لاءِ جيڪي اڃا تائين اسان جي مانيٽرنگ سسٽم سان ڳنڍيل نه آهن، شروع ڪرڻ لاءِ، صرف توهان جي اڳڪٿين سان رستن جي هڪ فهرست ڪافي هوندي. جيڪڏهن توهان وٽ اسان سان هڪ سيشن آهي، مهرباني ڪري چيڪ ڪريو ته توهان جا سڀئي رستا موڪليا ويا آهن. بدقسمتي سان، اهو ياد رکڻ جي قابل آهي ڇو ته ڪجهه آپريٽرز هڪ اڳياڙي يا ٻه وساريندا آهن ۽ اهڙيء طرح اسان جي ڳولا جي طريقن سان مداخلت ڪندا آهن. جيڪڏهن صحيح طريقي سان ڪيو ويو آهي، اسان وٽ توهان جي اڳڪٿين بابت قابل اعتماد ڊيٽا هوندي، جيڪا مستقبل ۾ توهان جي ايڊريس اسپيس لاءِ ٽرئفڪ جي مداخلت جي هن (۽ ٻين) قسمن جي خود بخود سڃاڻپ ۽ پتو لڳائڻ ۾ اسان جي مدد ڪندي.
جيڪڏهن توهان حقيقي وقت ۾ توهان جي ٽرئفڪ جي اهڙي مداخلت کان واقف ٿي رهيا آهيو، توهان ڪوشش ڪري سگهو ٿا پنهنجو پاڻ کي منهن ڏيڻ جي. پهريون طريقو اهو آهي ته انهن وڌيڪ مخصوص اڳڪٿين سان رستن جو پاڻ پتو لڳايو. انهن اڳڪٿين تي نئين حملي جي صورت ۾، ورجائي.
ٻيو طريقو اهو آهي ته حملي آور کي سزا ڏيو ۽ جن لاءِ هو هڪ نازڪ نقطو آهي (سٺن رستن لاءِ) حملي آور تائين توهان جي رستن جي رسائي بند ڪري. اهو توهان جي پراڻي رستن جي AS_PATH ۾ حملي ڪندڙ جي ASN کي شامل ڪندي ڪري سگهجي ٿو ۽ اهڙيءَ طرح انهن کي ان AS کان پاسو ڪرڻ لاءِ مجبور ڪيو BGP ۾ ٺهيل لوپ ڳولڻ واري ميڪانيزم کي استعمال ڪندي. .
جو ذريعو: www.habr.com